L3akCTF2025 - Forencis - Part 2

# Wi-Fight A Ghost? ![image](https://hackmd.io/_uploads/B1nGISzIxx.png) File: [KAPEOUT.zip](https://drive.google.com/file/d/1eP6wWmbFaBNTNa2IxNHPDIuyN1gXyBCz/view) ## Solution Để start challenge thì ta `nc 34.59.96.214 12001` ```text= Welcome to the Ghost Hunt Terminal. Answer all questions to reveal the final flag. Type 'exit' at any prompt to quit. Unanswered Questions: 1. What was the ComputerName of the device? 2. What was the SSID of the first Wi-Fi network they connected to? 3. When did they obtain the DHCP lease at the first café? 4. What IP address was assigned at the first café? 5. What GitHub page did they visit at the first café? 6. What did they download at the first café? 7. What was the name of the notes file? 8. What are the contents of the notes? 9. What was the SSID of the second Wi-Fi network they connected to? 10. When did they obtain the second lease? 11. What was the IP address assigned at the second café? 12. What website did they log into at the second café? 13. What was the MAC address of the Wi-Fi adapter used? 14. What city did this take place in? Answered so far: Enter question number to answer: 1 ``` ### Question 1: What was the ComputerName of the device? - Answer: `99PHOENIXDOWNS` Thì trong đó có file `Consolelog.txt` check thì thấy được name ![image](https://hackmd.io/_uploads/Sy9IU8z8xg.png) ### Question 2: What was the SSID of the first Wi-Fi network they connected to? - Answer: `mugs_guest_5G` Để biết được SSID của Wi-fi network đầu tiên họ kết nối thì dựa trên kiến thức mình có được thì trong `C:\Windows\System32\config\SOFTWARE` Đây là hive registry hệ thống chứa thông tin cấu hình phần mềm và hệ điều hành, bao gồm cả lịch sử mạng. Ta sẽ dùng **Registry Explorer** để tìm nó `SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures` ![image](https://hackmd.io/_uploads/Sy8fYvGUll.png) ### Question 3: When did they obtain the DHCP lease at the first café? - Answer:`2025-05-14 00:13:36` Tiếp theo để biết được DHCP thì ta có thể biết nó lưu tại Registry `HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\` Nên giờ ta sẽ bỏ `SYSTEM` vào Registry Explorer để phân tích ![image](https://hackmd.io/_uploads/HyAXnPGLlg.png) Có được `1747181616`. Ta sẽ dùng https://www.epochconverter.com/ để convert sang time GMT: Wednesday, May 14, 2025 12:13:36 AM ### Question 4: What IP address was assigned at the first café? - Answer: `192.168.0.114` ![image](https://hackmd.io/_uploads/ry4lpPfLgx.png) Như ở trên thì ta cũng có thể thấy được IP address ### Question 5: What GitHub page did they visit at the first café? - Answer: `https://github.com/dbissell6/DFIR/blob/main/Blue_Book/Blue_Book.md` Thì nếu là GitHub page thì chắc chắn user đã truy cập bằng **Edge** hoặc **Chrome**, v.v Ta chỉ cần check toàn bộ history các App có thể truy cặp web là được ![image](https://hackmd.io/_uploads/rJUil_GUlg.png) Thì ở đây chỉ có 2 App là **Edge** và **Chrome** Ta sẽ import **History** vào `SQlite Brower` vì nó là database ![image](https://hackmd.io/_uploads/B1BYEuGIxg.png) ### Question 6: What did they download at the first café? - Answer: `ChromeSetup.exe` Thì tiếp tục câu 5, ta có thể coi user đã down gì từ downloads trong `SQlite Brower` ![image](https://hackmd.io/_uploads/SJ7KSdG8ee.png) ### Question 7: What was the name of the notes file? - Aswer: `HowToHackTheWorld.txt` Khi 1 file được mở thì Windows sẽ lưu vào Thư mục `Recent` với đuôi là `.ink` vậy nên ta sẽ truy cập vào để để xem file notes được mở ra tên là gì `KAPEOUT/C/Users/NotVi/AppData/Roaming/Microsoft/Windows/Recent/` ![image](https://hackmd.io/_uploads/ByzKZYG8ex.png) ### Question 8: What are the contents of the notes? - Aswer: `Practice and take good notes.` Cái này hơi lạ thì mình dùng Autospy từ đầu tới giờ. Và khi biết tên notes là `HowToHackTheWorld.txt` mình dùng chức năng search của Autospy và tìm thấy được nội dung của notes ![image](https://hackmd.io/_uploads/r1uNH9M8ge.png) ### Question 9: What was the SSID of the second Wi-Fi network they connected to? - Answer: `AlleyCat` Giống như câu hỏi thứ 2 ta chỉ cần vô lại `SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures` ![image](https://hackmd.io/_uploads/BkcDY5z8eg.png) ### Question 10: When did they obtain the second lease? - Answer: `2025-05-14 00:35:07` Như câu 3 thì ta sẽ vào `SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\` ![image](https://hackmd.io/_uploads/SJE46cMLge.png) Ta sẽ dùng https://www.epochconverter.com/ để convert sang time GMT: Wednesday, May 14, 2025 12:35:07 AM ### Question 11: What was the IP address assigned at the second café? - Answer: `10.0.6.28` Thì đáp án có thể thấy ngay tại câu 10 nó cũng có để IP ![image](https://hackmd.io/_uploads/Hk-eA5zIle.png) ### Question 12: What website did they log into at the second café? - Answer: `l3ak.team` Giống câu 5 thì ở câu 5 ta đã biết user đã xài **Edge** để Down **Chrome** và không còn gì khác nữa. Vậy thì ta sẽ tiếp tục ở **Chrome** vì chỉ còn nó là App duy nhất để vào trình duyệt web ![image](https://hackmd.io/_uploads/Hky71sfIll.png) ### Question 13: What was the MAC address of the Wi-Fi adapter used? - Answer: `48:51:C5:35:EA:53` Thì sau khi tìm hiểu về [Microsoft Docs – List of Setup Class GUIDs](https://learn.microsoft.com/en-us/windows-hardware/drivers/install/system-defined-device-setup-classes-available-to-vendors) Biết được rằng `SYSTEM\ControlSet001\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}` chứa thông tin **Network Adapter** ![image](https://hackmd.io/_uploads/B14-KsGUge.png) Giờ thì ta sẽ dò địa chỉ MAC của nó ở Và ta biết được rằng là user có kết nối Wi-fi lần đầu ở câu 3 thì nó có `{18c11dbd-93ab-4ca9-a804-4f4475da25b8}` nó chính là `NetCfgInstanceId` nôm na ta chỉ cần search đúng ID này thì sẽ có địa chỉ MAC đã kết nối với tên thiết bị mà ta vừa tìm được ![image](https://hackmd.io/_uploads/H11l0izLgg.png) ### Question 14: What city did this take place in? - Answer: `Fort Collins` Câu này thì là tốn thời gian mình nhất vì ban đầu mình tưởng sẽ tìm location ngay trong ổ đĩa nhưng mà thử rất nhiều lần nhưng mà đều không được Thì nhờ 1 người bạn trên discord: `calciumnitrate` đơn giản chỉ là search cái SSID wi-fi :) Welp mình không ngờ tới được ![image](https://hackmd.io/_uploads/S1vaJnf8gg.png) ### Final Flag **All Question Table** <table border="1" cellspacing="0" cellpadding="8"> <thead> <tr> <th>Question</th> <th>Answer</th> </tr> </thead> <tbody> <tr><td>1. What was the ComputerName of the device?</td><td>99phoenixdowns</td></tr> <tr><td>2. What was the SSID of the first Wi-Fi network they connected to?</td><td>mugs_guest_5g</td></tr> <tr><td>3. When did they obtain the DHCP lease at the first café?</td><td>2025-05-14 00:13:36</td></tr> <tr><td>4. What IP address was assigned at the first café?</td><td>192.168.0.114</td></tr> <tr><td>5. What GitHub page did they visit at the first café?</td> <td><a href="https://github.com/dbissell6/dfir/blob/main/blue_book/blue_book.md" target="_blank">github.com/dbissell6/dfir/...</a></td> </tr> <tr><td>6. What did they download at the first café?</td><td>chromesetup.exe</td></tr> <tr><td>7. What was the name of the notes file?</td><td>howtohacktheworld.txt</td></tr> <tr><td>8. What are the contents of the notes?</td><td>practice and take good notes.</td></tr> <tr><td>9. What was the SSID of the second Wi-Fi network they connected to?</td><td>alleycat</td></tr> <tr><td>10. When did they obtain the second lease?</td><td>2025-05-14 00:35:07</td></tr> <tr><td>11. What was the IP address assigned at the second café?</td><td>10.0.6.28</td></tr> <tr><td>12. What website did they log into at the second café?</td><td>l3ak.team</td></tr> <tr><td>13. What was the MAC address of the Wi-Fi adapter used?</td><td>48:51:C5:35:EA:53</td></tr> <tr><td>14. What city did this take place in?</td><td>Fort Collins</td></tr> </tbody> </table> ![image](https://hackmd.io/_uploads/H1Iu-nMIlx.png) **Flag: L3AK{Gh057_R!d!ng_7h3_W4v35}**